Vous ouvrez votre application météo favorite pour voir s'il va pleuvoir cet après-midi, ou vous lancez une partie rapide de votre jeu mobile pendant la pause déjeuner. Rien de bien innocent, n'est-ce pas ? Pourtant, à cet instant précis, votre position GPS exacte, votre identifiant unique et vos habitudes de déplacement sont probablement en train de circuler sur un marché opaque que vous ne soupçonniez même pas. Ce que l'on découvre aujourd'hui est stupéfiant : le Customs and Border Protection (CBP), le service des douanes et de la protection des frontières des États-Unis, ne se contente pas de surveiller les frontières. Il a trouvé le moyen de suivre vos moindres déplacements en intérieur, sans mandat, en se connectant directement à l'écosystème de la publicité en ligne. Au lieu de demander une autorisation judiciaire aux opérateurs téléphoniques, ils achètent simplement vos données à des courtiers spécialisés qui les ont récoltées via vos applications quotidiennes. C'est la fin brutale de toute illusion de vie privée, transformant chaque clic sur une bannière publicitaire en indice potentiel pour une base de données gouvernementale.
Votre application météo est-elle une indic du CBP ?
La révélation qui a éclaté grâce au travail de l'ACLU (American Civil Liberties Union) dépasse l'entendement. En analysant des milliers de pages de documents internes, il est apparu que des agences gouvernementales n'ont pas besoin de pirater des téléphones pour savoir où vous êtes. Elles ont simplement ouvert leur portefeuille. Des données collectées par des applis populaires, de jeux ou d'outils pratiques finissent par être revendues à des tiers, et ces tiers ont pour clients des services de sécurité comme le CBP. Ce système contourne les protections juridiques classiques, car techniquement, vous avez « accepté » de partager ces données en cochant une case interminable lors de l'installation de l'application. L'émotion qui saisit le lecteur est un mélange de colère et d'impuissance : nos outils numériques du quotidien, censés nous faciliter la vie, sont devenus les mouchards d'une surveillance de masse automatisée. Comprendre l'ampleur de ce phénomène exige de regarder les chiffres en face, car ils donnent la vertige.
L'enquête ACLU : 336 000 points de localisation sans mandat
Lorsque l'on parle de surveillance de masse, les chiffres ont souvent tendance à nous glisser dessus sans que nous en mesurions la réalité concrète. Pourtant, l'enquête menée par l'ACLU apporte une preuve tangible et effrayante de ce que signifie l'achat de données. L'organisation a passé au crible pas moins de 6 168 pages de documents provenant du CBP. Ces archives contenaient environ 336 000 points de localisation, chacun représentant un instant précis où un téléphone, et donc probablement une personne, se trouvait à un endroit donné. Pour rendre cette ampleur plus palpable, il suffit de regarder un échantillon de trois jours en 2018, concernant une zone spécifique du sud-ouest des États-Unis. En seulement 72 heures, les enregistrements ont comptabilisé 113 654 points de localisation. Cela représente plus de 26 points par minute pour une seule zone géographique. Imaginez la densité d'informations que cela procure : il est possible de reconstituer des trajets, de deviner où une personne s'arrête pour boire un café, où elle travaille, et même où elle dort, le tout sans qu'aucun juge n'ait été saisi pour autoriser cet espionnage. C'est une fenêtre ouverte de force sur l'intimité de milliers de personnes qui ignorent tout de leur existence dans ces fichiers.
Venntel : le courtier en données qui vaut 15 milliards de points par jour
Au cœur de ce système se trouve un acteur que peu de gens connaissent, mais qui détient un pouvoir immense : Venntel. Cette entreprise n'est pas une application que vous téléchargez, ni un réseau social. C'est un courtier en données, un intermédiaire qui achète les informations de localisation à des centaines d'applications pour les revendre ensuite, souvent à des clients gouvernementaux. Selon les documents révélés par l'ACLU, l'ampleur de la collecte de Venntel est vertigineuse. L'entreprise prétend récolter plus de 15 milliards de points de localisation chaque jour, provenant de plus de 250 millions de téléphones portables et d'appareils mobiles aux États-Unis. Mais Venntel ne se contente pas de vendre des coordonnées GPS brutes. Elle propose des outils d'analyse sophistiqués qui permettent aux forces de l'ordre de « identifier les appareils observés dans des lieux d'intérêt ». Leur offre inclut la capacité de repérer les visiteurs récurrents, de localiser les fréquentations habituelles, de cibler des associés connus et, terme plus inquiétant, de découvrir le « pattern of life », ou mode de vie, d'un individu. En d'autres termes, ils ne vendent pas seulement une position, ils vendent la biographie géographique d'une personne, prête à être analysée par des algorithmes prédictifs. C'est exactement ce type de service que des services comme le CBP utilisent pour traquer des individus sans avoir à justifier leurs actions devant un tribunal.
Le contournement légal par l'achat de données
Ce qui rend cette pratique particulièrement insidieuse, c'est qu'elle permet à l'État de se dédouaner de toute responsabilité judiciaire. Normalement, pour obtenir un historique de localisation aussi détaillé auprès d'un opérateur téléphonique, le CBP devrait présenter un mandat, ce qui exige de prouver l'existence d'un motif raisonnable. En passant par un intermédiaire privé comme Venntel, l'agence achète purement et simplement un produit déjà existant. C'est un tour de passe-passe juridique qui transforme une perquisition invasive en simple transaction commerciale. Pour les citoyens, cela signifie que leurs droits constitutionnels sont réduits à néant par la simple existence d'un contrat B2B entre deux entreprises privées. Cette faille dans le raisonnement juridique permet aux autorités de contourner l'esprit de la loi tout en respectant la lettre, du moins jusqu'à ce que les législateurs décident de combler cette béance.
Real-Time Bidding : la faille de la publicité programmatique
Comment ces données arrivent-elles entre les mains de courtiers comme Venntel ? Le coupable n'est pas une seule application malveillante, mais toute une infrastructure technique qui fait tourner l'économie numérique : la publicité programmatique et plus spécifiquement le Real-Time Bidding (RTB), ou enchère en temps réel. Ce système a été conçu pour permettre aux annonceurs de diffuser des publicités ciblées en quelques millisecondes. Cependant, cette architecture présente une faille critique de sécurité qui est aujourd'hui exploitée pour la surveillance gouvernementale. Le processus est simple : quand vous ouvrez une application ou une page web, un espace publicitaire se charge. Avant que la publicité ne s'affiche, une enchère éclair a lieu entre des dizaines d'annonceurs potentiels pour savoir qui aura le droit de vous montrer sa pub. Pour que chaque annonceur puisse décider s'il veut enchérir, il reçoit des informations sur vous, notamment votre localisation précise, votre identifiant publicitaire et des données contextuelles. Le problème, c'est que même si seul le gagnant affiche sa pub, tous les participants ont reçu vos données.
Quand chaque enchère publicitaire révèle votre position GPS
Pour comprendre la gravité de la situation, il faut visualiser ce qui se passe en une fraction de seconde sur votre téléphone. Imaginez que vous jouiez à un jeu mobile ou que vous consultez les résultats d'un match esport. Le jeu doit charger une publicité pour générer des revenus. À cet instant, une requête part vers une plateforme d'adtech contenant votre adresse IP, mais aussi souvent vos coordonnées GPS précises. Des centaines d'entreprises participent à cette enchère : des géants du marketing, des régies publicitaires, mais aussi, nous le savons maintenant, des courtiers en données qui servent d'intermédiaires pour le gouvernement. En théorie, ces données ne devraient servir qu'à personnaliser la publicité (par exemple, vous montrer une pub pour un fast-food situé à 200 mètres). En pratique, elles sont capturées, stockées et revendues. Le CBP et d'autres agences n'ont pas eu besoin de pirater le système ; ils ont simplement créé des comptes d'annonceurs fictifs ou ont utilisé des sociétés écrans pour participer à ces enchères. En achetant l'accès aux flux d'enchères, ils ont pu aspirer des millions de points de localisation, transformant chaque bannière publicitaire chargée sur un écran en un outil de géolocalisation potentiel pour l'État.
L'accès gouvernemental aux flux d'enchères
La facilité avec laquelle les agences gouvernementales ont pu accéder à ces données soulève des questions inquiétantes sur la régulation de la publicité en ligne. Selon l'EFF (Electronic Frontier Foundation), le RTB est une vulnérabilité structurelle majeure : le mécanisme est conçu pour diffuser l'information largement pour garantir la meilleure offre publicitaire, mais il n'intègre aucun contrôle sur qui, exactement, reçoit ces informations. Une fois qu'une donnée quitte votre téléphone pour rejoindre le « bid stream » (le flux d'enchères), elle perd tout contexte de protection. N'importe quel acteur disposant d'un compte d'annonceur, y compris des agences de renseignement étrangères ou des services de police locaux, peut puiser dans ce fleuve de données. Le système ne fait aucune distinction entre une marque de lessive cherchant à vous vendre un produit et un gouvernement cherchant à tracer vos déplacements. C'est cette absence de discrimination qui transforme la publicité ciblée en outil de surveillance.
Le MAID : cet identifiant unique qui réduit l'anonymat à néant
Un argument souvent avancé par les entreprises de publicité est que les données sont « anonymisées ». Pourtant, cette capacité de suivi repose fondamentalement sur un élément technique particulier : l'identifiant publicitaire mobile, ou MAID. Que ce soit l'IDFA pour Apple ou le GAID pour Google, chaque appareil possède un code distinct destiné à rester séparé de votre identité réelle. Bien que cette chaîne de caractères puisse sembler anonyme au premier abord, elle joue un rôle central dans l'environnement numérique en connectant vos usages, d'une application de sport à un jeu vidéo, en passant par un service de prévisions météorologiques. Toutefois, cette illusion d'anonymat vole en éclats dès l'instant où cet identifiant est associé à d'autres bases de données, telles que les registres immobiliers ou les annuaires publics. Un « numéro anonyme » permet très souvent de réidentifier physiquement la personne. Si un appareil passe ses nuits à une adresse donnée et ses journées à une autre, il est aisé d'associer ce MAID à un nom, une adresse postale et une identité civile. Le prétendu anonymat ne protège personne contre une analyse de données sérieuse ; il ne sert qu'à masquer la responsabilité des entreprises qui collectent ces informations.
Carpenter c. United States : la décision que le CBP a contournée
Cette situation juridique est d'autant plus choquante qu'elle viole l'esprit, sinon la lettre, d'une décision historique de la Cour suprême des États-Unis. En 2018, dans l'affaire Carpenter c. United States, la plus haute juridiction du pays avait établi un garde-fou essentiel pour la vie privée numérique. La Cour avait jugé que l'accès par le gouvernement aux historiques de localisation cellulaires (les données conservées par les opérateurs téléphoniques) constituait une « perquisition » au sens du Quatrième Amendement. En conséquence, pour obtenir ces données, la police et les agences fédérales devaient obtenir un mandat basé sur des motifs probables. C'était une victoire majeure pour les défenseurs des libertés civiques, reconnaissant que nos déplacements sont privés et sensibles. Pourtant, au lieu de respecter ce cadre légal, les services comme le CBP ont choisi de le contourner purement et simplement. Ils ont trouvé une faille dans le raisonnement juridique : si les opérateurs ne peuvent pas vendre les données sans mandat, rien n'interdit aux entreprises privées de le faire à leur place.
L'arrêt de 2018 qui protégeait vos données de géolocalisation
L'arrêt Carpenter était fondé sur une logique simple mais puissante : la technologie moderne permet un suivi intrusif qui n'aurait jamais été possible auparavant. Lorsqu'on porte un téléphone cellulaire aujourd'hui, on transmet involontairement des informations détaillées sur notre vie privée à notre fournisseur de service. La Cour suprême avait admis que permettre au gouvernement d'accéder à ces enregistrements historiques sans contrôle judiciaire permettrait de reconstituer l'intégralité de la vie privée d'un individu, ce qui est incompatible avec les libertés civiques fondamentales. Cet arrêt obligeait les agences fédérales à justifier chaque demande d'historique de localisation devant un juge. C'était un frein nécessaire contre l'arbitraire, exigeant que la surveillance soit ciblée et justifiée par une enquête criminelle spécifique. Pour des millions d'Américains, cela signifiait que leurs déplacements quotidiens ne pouvaient pas être fouillés a posteriori sans raison valable. C'est cette protection que le recours aux courtiers de données a permis d'annuler de facto, laissant les citoyens totalement démunis face à une surveillance généralisée.
Le pari juridique des data brokers : « consentement volontaire »
Pour justifier cette pratique, les courtiers en données et les acheteurs gouvernementaux se cachent derrière un argument juridique fragile : celui du « consentement volontaire ». Leur raisonnement est que vous avez accepté les conditions d'utilisation de l'application, et que par conséquent, vous avez autorisé la collecte et la vente de votre position. C'est le même mécanisme qui nous fait cliquer sur « J'accepte tout » sans lire des lignes de texte juridique incompréhensible. L'ACLU démontre sans ambiguïté que c'est une fiction. Les utilisateurs ne savent pas que leur position sera vendue à des courtiers qui les revendront au gouvernement. Pire encore, ils n'ont aucun moyen réaliste de le savoir, car ces transferts de données se font souvent à travers des chaînes d'entreprises opaques, échappant totalement au contrôle de l'utilisateur final. Dire qu'il y a consentement revient à dire que quelqu'un qui se promène dans la rue consent à ce que sa photo soit prise et revendue aux services de renseignement pour être stockée dans une base de données indéfiniment, simplement parce qu'il est sorti de chez lui. C'est une déformation du concept de consentement qui vide la protection de la vie privée de tout sens substantiel.
Bruxelles sous surveillance : les Databroker Files
Ce n'est pas uniquement un problème américain, comme l'a prouvé l'enquête retentissante surnommée les « Databroker Files ». Une coalition de médias européens, incluant Le Monde et d'autres partenaires, a révélé que ce marché des données de géolocalisation est tout aussi florissant et incontrôlable en Europe. Les journalistes ont mis la main sur une base de données géantes contenant des millions de points de localisation rien que pour la Belgique. Ce qui a choqué le continent, c'est la précision avec laquelle des personnes sensibles, des hauts fonctionnaires et même du personnel diplomatique pouvaient être suivis. L'enquête a montré qu'il était possible de tracer les déplacements de centaines d'employés de la Commission européenne, du Parlement européen et du service diplomatique de l'UE. Leurs domiciles, leurs lieux de travail et leurs trajets quotidiens étaient cartographiés avec une précision de quelques mètres. Cela prouve que la faille de sécurité liée à la publicité ciblée est un enjeu géopolitique majeur qui menace directement la sécurité du vieux continent.
Des fonctionnaires européens tracés jusqu'à leur domicile
Les résultats de l'enquête en Belgique sont glaçants. Les journalistes ont pu identifier des centaines de fonctionnaires européens simplement en analysant leurs habitudes de déplacement. Le mécanisme est redoutablement simple : un appareil qui quitte un domicile particulier chaque matin pour entrer dans les bâtiments du quartier européen à Bruxelles et qui y retourne le soir est très probablement celui d'un employé de l'UE. Avec 278 millions d'enregistrements de géolocalisation disponibles pour la seule Belgique, la densité de l'information permettait de voir non seulement les bureaux, mais aussi les résidences privées, les lieux de sport et les déplacements sociaux. Mais l'inquiétude va au-delà de la simple curiosité malveillante. Les bases de données contenaient aussi des pings provenant du siège de l'OTAN à Bruxelles et de sites militaires belges. Cela signifie que des données sensibles concernant les déplacements de personnel militaire et diplomatique étaient accessibles à quiconque avait les moyens de payer le bon courtier. C'est une aubaine potentielle pour des puissances étrangères hostiles qui chercheraient à profiler ou à compromettre des membres clés de l'administration européenne sans même avoir à mettre les pieds sur le territoire.
La réaction tardive de la Commission européenne
Face à l'ampleur de la fuite, la réaction des institutions européennes a été pour le moins étonnante de timidité, n'intervenant qu'une fois le scandale public. Ce n'est qu'après la publication des révélations que la Commission européenne a émis de nouvelles instructions à destination de son personnel. Les agents ont été informés de la nécessité de désactiver le suivi publicitaire sur leurs appareils, qu'ils soient professionnels ou personnels. Les équipes de réponse aux incidents de sécurité informatique (CISRTs) des États membres ont également été alertées sur les risques liés à cette collecte massive de données. Si ces mesures sont une étape nécessaire, elles montrent surtout l'ampleur du retard pris. Pendant des années, l'écosystème publicitaire a opéré dans l'ombre, sans contrôle réel, laissant fuiter des données stratégiques vers des entités privées qui n'ont aucun devoir de réserve ni d'allégeance envers les intérêts nationaux ou européens. C'est une prise de conscience douloureuse : les outils que nous utilisons pour nos loisirs ou pour nous faciliter la tâche au quotidien peuvent être utilisés pour cartographier les centres de pouvoir décisionnels en temps réel.
Gravy Analytics et la fuite sur serveur russe : quand les data brokers se font pirater
Si l'idée que le gouvernement américain achète vos données vous inquiète, sachez que la situation pourrait être bien pire. Les courtiers en données eux-mêmes ne sont pas des forteresses imprenables ; au contraire, ils sont devenus des cibles juteuses pour les cybercriminels et les services de renseignement étrangers. Un incident particulièrement frappant a impliqué Gravy Analytics, un acteur majeur de ce marché. En janvier 2025, l'entreprise a reconnu avoir subi une faille de sécurité majeure. Ironie du sort, cette violation est survenue seulement quelques semaines après que la Commission fédérale du commerce (FTC) aux États-Unis ait ordonné à l'entreprise de supprimer ses données historiques de localisation. Non seulement les données n'avaient peut-être pas toutes été détruites, mais elles ont été exposées au grand jour. Des téraoctets de données de localisation sensibles, collectées sur des millions d'utilisateurs, se sont retrouvés accessibles sur un serveur basé en Russie. Cela illustre le risque ultime de ce marché : la centralisation des données crée un point de défaillance unique dont les conséquences sont imprévisibles.
Janvier 2025 : des téraoctets de localisations exposées
Les détails de la faille de sécurité chez Gravy Analytics font froid dans le dos. La quantité de données exposées se compte en téraoctets, ce qui représente les déplacements de millions de personnes sur de longues périodes, potentiellement des années. Le fait que ces données aient été trouvées sur un serveur russe suggère qu'elles n'étaient pas simplement le résultat d'un piratage aléatoire, mais qu'elles pouvaient être récupérées par des acteurs étatiques ou affiliés. Pensons à ce que cela signifie : des gouvernements étrangers, qui ne sont pas soumis aux mêmes contraintes juridiques que les démocraties occidentales, peuvent potentiellement avoir accès aux mêmes données que celles achetées par le CBP ou la police. Cela inclut les déplacements de militaires, de diplomates, de scientifiques ou de dirigeants politiques. Contrairement aux enquêtes judiciaires qui demandent un mandat, ici l'accès est sauvage et incontrôlé. La fuite chez Gravy Analytics prouve que l'argument de la « sécurité » utilisé pour justifier la collecte massive de données est fallacieux : en réalité, cette concentration rend tout le monde moins sûr, car une seule brèche dans le mur peut inonder l'ensemble de l'écosystème.
Ce que des acteurs hostiles pourraient faire de vos déplacements
Le potentiel de malveillance de ces données tombées entre de mauvaises mains est terrifiant. Imaginez un acteur hostile cherchant à compromettre une personnalité politique ou un chercheur en technologie militaire. En ayant accès à l'historique de ses déplacements, il est facile de repérer ses habitudes, ses endroits fréquentés et ses périodes de vulnérabilité. Plus inquiétant encore, ces données peuvent être croisées avec des informations sur des infrastructures critiques. Si des milliers de téléphones passent régulièrement à proximité d'une centrale nucléaire, d'un centre de commandement ou d'un laboratoire de recherche, cela peut permettre d'identifier les employés qui y travaillent et de créer des profils psychologiques ou sociaux à leur encontre. L'espionnage moderne ne passe plus nécessairement par des micros cachés dans les lampadaires, mais par l'analyse de données GPS disponibles sur le marché ouvert. C'est un changement de paradigme majeur dans le renseignement : on n'a plus besoin d'envoyer des agents sur le terrain pour collecter l'information, il suffit de payer le bon fournisseur ou d'attendre qu'il se fasse pirater pour accéder à une mine d'or stratégique.
Jeux, réseaux sociaux, météo : les applications qui nourrissent le système
Il est crucial de comprendre que nous ne parlons pas d'applications obscures ou malveillantes que personne n'utilise. Les coupables sont souvent les applications les plus populaires et les plus anodines de nos smartphones. En tant que passionné d'esport et de gaming, je suis le premier à admettre que j'utilise constamment mon téléphone pour suivre des tournois, consulter des stats ou m'informer sur les équipes pro. Mais ces mêmes applications de sport, ces jeux mobiles addictifs, ou encore ces applis météo pratiques sont les premières à collecter et à vendre nos données. Pourquoi un jeu a-t-il besoin de savoir exactement où vous êtes ? Souvent, c'est pour « améliorer l'expérience publicitaire » ou pour du contenu géolocalisé, mais la réalité est que votre localisation est une monnaie d'échange qui finance les applications gratuites que nous aimons. Chaque session de jeu sur la route des vacances, chaque consultation d'une prévision météo pour un week-end randonnée, alimente cette machine infernale. C'est le prix caché de la gratuité sur internet : vous n'êtes pas le client, vous êtes le produit.
Pourquoi votre jeu mobile préféré veut savoir où vous êtes
Prenons l'exemple spécifique des jeux vidéo mobiles, un domaine que je connais bien. Beaucoup de ces jeux demandent l'accès à la localisation dès le premier lancement. Les développeurs avancent souvent des raisons légitimes : pour le classement géographique des joueurs, pour proposer des événements régionaux ou encore pour lutter contre la triche. Mais une fois cette donnée collectée, elle ne reste pas enfermée dans le serveur du jeu. Elle est souvent transmise à des SDK publicitaires intégrés au code de l'application. Ces kits publicitaires sont là pour diffuser des pubs interstitielles ou pour suivre les installations d'autres applications. C'est ici que le bas blesse : le SDK envoie votre position (et votre MAID) au réseau publicitaire, et de là, elle finit dans les bases de données des courtiers. Imaginez que vous suivez un tournoi majeur sur une application dédiée en voyageant. Votre trajectoire complète, de votre hôtel à l'arène, peut être enregistrée et vendue. Ce qui était pour vous une passion innocente devient un fil d'Ariane pour des bases de données gouvernementales ou commerciales. i-Xray : deux étudiants d'Harvard vous démasquent en temps réel
La liste noire des catégories d'applications à risque
Bien que les jeux soient un exemple frappant, ils sont loin d'être les seuls coupables. Certaines catégories d'applications sont devenues des mines d'or de données de localisation. Les applications météo, par exemple, sont notoirement gourmandes en GPS, car la précision locale est leur fonction première. Mais une fois qu'elles ont votre position pour la température, elles la vendent souvent pour des profits publicitaires. Les applications de navigation et de trafic routier fonctionnent sur le même principe, bien que la localisation soit ici plus attendue par l'utilisateur. Les réseaux sociaux constituent également des vecteurs importants de collecte, notamment à travers les publications et les contenus géolocalisés. En outre, les services de rencontre et les applications grand public, qui utilisent votre emplacement pour suggérer des profils ou des commerces à proximité, transmettent également ces données délicates aux courtiers en informations. La logique est sans appel : si une application est gratuite mais demande votre localisation, il est fort probable que ces données soient monétisées. L'utilisateur ordinaire se rassure souvent en pensant qu'il n'a « rien à cacher », mais c'est méconnaître la puissance de l'agrégation de données. C'est l'accumulation de ces points de données, apparemment anodins, qui permet de dresser des profils détaillés et intrusifs.
Désactiver, limiter, masquer : les gestes qui protègent (un peu)
Face à cette machine de surveillance qui semble tout englober, que peut faire l'utilisateur individuel ? Il faut être honnête : la protection totale est quasiment impossible tant que l'architecture de l'Internet publicitaire ne change pas fondamentalement. Cependant, il existe des mesures que l'on peut prendre pour réduire sa surface d'exposition et rendre le suivi plus difficile, même si ce n'est pas infaillible. Tout comme dans les compétitions de jeu, où il faut adapter sa stratégie en fonction du méta adverse, nous devons adapter nos habitudes numériques pour minimiser les dégâts. Il s'agit de rendre la collecte de nos données plus coûteuse, plus difficile et moins précise pour les courtiers. Chaque petit geste compte, non pas pour devenir invisible, mais pour disparaître des radars les plus basiques et les plus automatiques de la publicité ciblée.
iOS et Android : les réglages que vous devez changer aujourd'hui
Les deux systèmes d'exploitation mobiles dominants, iOS et Android, offrent aujourd'hui des outils pour limiter le pistage publicitaire, mais ils doivent souvent être activés manuellement car ils ne sont pas activés par défaut. Sur iPhone, rendez-vous dans Réglages > Confidentialité et sécurité > Suivi publicitaire et désactivez l'option « Autoriser le suivi des demandes ». Ensuite, allez dans Réglages > Confidentialité et sécurité > Service de localisation > Services système > Localisation significative et désactivez cette option qui apprend vos habitudes de séjour. Android propose des fonctionnalités similaires via le menu Google, où l'on peut désactiver l'activité sur le Web et les applications ainsi que l'historique des positions géographiques. Une autre étape cruciale est de réinitialiser votre identifiant publicitaire (IDFA sur iOS, GAID sur Android) dans les réglages, ce qui casse le lien avec votre historique publicitaire passé. Enfin, examinez systématiquement les permissions des applications installées. Une application de lampe de poche n'a pas besoin de votre position précise : changez la permission en « Jamais » ou « Uniquement lors de l'utilisation de l'application » si la fonction l'exige vraiment.
Pourquoi la protection totale reste une illusion
Cependant, nous devons rester lucides : ces mesures ne sont que des couches de protection superficielles. Même en désactivant le GPS et le suivi publicitaire, les applications et les opérateurs peuvent encore déduire votre position approximative via votre adresse IP, l'analyse des réseaux WiFi auxquels vous vous connectez, ou encore via les données d'accéléromètre qui trahissent vos déplacements. De plus, certaines applications refusent de fonctionner si l'accès à la localisation est coupé, nous forçant à choisir entre l'utilité du service et notre intimité. Ce n'est pas l'utilisateur individuel qui réglera ce problème, car l'asymétrie de pouvoir est trop grande. Face à des ressources gouvernementales et des milliardaires de la tech, l'individu est démuni. La véritable solution se situe au niveau législatif et réglementaire. Il faut une interdiction stricte de la collecte de données de localisation à des fins de surveillance par l'intermédiaire de courtiers, et une réforme en profondeur du système RTB. Nos petits réglages individuels sont des pansements sur une jambe de bois : ils soulagent un peu, mais ne guérissent pas la maladie systémique qui touche notre écosystème numérique.
L'ePrivacy enterrée : l'Europe en panne de régulation
Alors que la menace grandit, la réponse législative européenne, autrefois phare de la protection des données, semble s'être essoufflée. Le grand espoir était le règlement ePrivacy, un texte ambitieux censé compléter le RGPD en régulant spécifiquement les cookies, les traceurs et la publicité comportementale. Pendant des années, ce texte a été bloqué par des luttes d'influence et des divergences entre les États membres. Finalement, dans un coup de théâtre peu médiatisé, la Commission européenne a décidé de retirer ce projet au printemps 2025. C'est une victoire pour les lobbies de la publicité en ligne et une défaite pour les citoyens européens. Le texte qui aurait pu mettre un frein à cette collecte sauvage de données est mort, laissant un vide juridique que les courtiers en données n'hésitent pas à exploiter. À la place, on nous promet une nouvelle proposition, le « Digital Fairness Act », mais le temps presse et la technologie avance plus vite que la loi.
Quand les législateurs dorment, les data brokers prospèrent
Ce retard réglementaire a un coût direct en termes de libertés publiques. Pendant que les législateurs débattent, des entreprises comme Venntel ou Gravy Analytics prospèrent en vendant des accès à notre vie privée aux plus offrants, qu'ils soient des forces de l'ordre, des banques ou des États étrangers. Comme le soulignait le sénateur américain Ron Wyden à propos de Big Tech, leur refus de couper les ponts avec ces sociétés de surveillance revient à collaborer avec une campagne de terreur numérique. En Europe, le constat est similaire : l'absence de cadre légal strict autorise de facto ces dérives. L'histoire se répète : tant qu'un scandale majeur n'éclate pas au grand jour, l'indignation reste silencieuse et les parlements traînent des pieds. Mais le risque n'est plus seulement théorique, il est tangible et visible, comme l'ont prouvé les Databroker Files. Si l'Europe ne se réveille pas rapidement, elle risque de laisser ses institutions et ses citoyens totalement dévêtus face à une surveillance commerciale et étatique sans précédent. La balle est dans le camp des décideurs politiques : il est urgent de rétablir un contrôle démocratique sur ces technologies qui menacent nos libertés fondamentales.
Conclusion
Nous sommes arrivés à une situation paradoxale et dangereuse : un jeu mobile que vous lancez pendant un trajet en train, ou une simple application météo pour organiser votre journée, peut finir par nourrir des bases de données policières ou de renseignement. L'absurdité du système réside dans le fait que des protections constitutionnelles, comme l'arrêt Carpenter, sont vidées de leur substance par un marché de données sauvage qui n'a que faire des droits individuels. Le mécanisme du Real-Time Bidding, conçu pour optimiser la vente de publicités, est devenu le conduit principal d'une surveillance généralisée et bon marché que les régimes totalitaires n'auraient même pas osé imaginer il y a quelques décennies.
Face à cette urgence, la situation européenne est particulièrement préoccupante. L'enterrement du règlement ePrivacy laisse le champ libre à ces pratiques, tandis que des enquêtes montrent que même les plus hauts dirigeants ne sont pas à l'abri du pistage. Il ne s'agit plus seulement de savoir quelles publicités nous seront montrées, mais de savoir qui peut connaître nos déplacements, nos habitudes et notre vie privée à tout moment. La régulation ne peut plus attendre. Tant que le consentement des utilisateurs restera une fiction juridique et que les techniciens de la publicité ne seront pas tenus responsables de la sécurité des données qu'ils collectent, notre vie numérique restera une vitre ouverte sur laquelle n'importe qui, ami ou ennemi, pourra venir coller son nez.
